網(wǎng)絡(luò)攻防技術(shù)-木馬的使用

項(xiàng)目五木馬攻擊與防范【項(xiàng)目概述】木馬是計(jì)算機(jī)病毒的一種，已經(jīng)成為數(shù)量增長(zhǎng)最快的計(jì)算機(jī)病毒。黑客通過(guò)灰鴿子、上線遠(yuǎn)控、Ghost木馬等各種“肉雞”控制工具，瘋狂侵蝕著Internet安全。為了加強(qiáng)對(duì)木馬的防范，網(wǎng)絡(luò)安全公司決定根據(jù)木馬的特征和主要攻擊方式，對(duì)整個(gè)網(wǎng)絡(luò)進(jìn)行木馬掃描，加強(qiáng)木馬防范措施?！卷?xiàng)目分析】木馬也稱特洛伊木馬，名稱來(lái)源于希臘神話《木馬屠城記》。古希臘派大軍圍攻特洛伊城，久久無(wú)法攻下。于是有人獻(xiàn)計(jì)制造一只高二丈的大木馬，假裝為作戰(zhàn)馬神，讓精兵藏匿于巨大的木馬中，大部隊(duì)假裝撤退而將木馬摒棄于特洛伊城下。城中士兵得知解圍的消息后，遂將“木馬”作為奇異的戰(zhàn)利品拖入城內(nèi)，全稱飲酒狂歡。到午夜時(shí)分，全城軍民盡入夢(mèng)鄉(xiāng)，藏于木馬中的將士打開(kāi)城門(mén)，四處放火，城外埋伏的士兵涌入，部隊(duì)里應(yīng)外合，攻下了特洛伊城。網(wǎng)絡(luò)攻防中的木馬指的是攻擊者編寫(xiě)的一段惡意代碼，它可以潛伏在被攻擊者的計(jì)算機(jī)中。攻擊者通過(guò)這個(gè)代碼可以遠(yuǎn)程控制被攻擊者的計(jì)算機(jī)，以竊取計(jì)算機(jī)上的信息或者操作計(jì)算機(jī)。從本質(zhì)上講，木馬也是病毒的一種，因此很多用戶也把木馬稱為病毒。在本項(xiàng)目中，將介紹木馬工作的原理、典型的木馬使用過(guò)程、木馬的生成方法、木馬免殺技術(shù)、木馬防范技術(shù)，提高計(jì)算機(jī)用戶對(duì)木馬的認(rèn)識(shí)，加強(qiáng)在網(wǎng)絡(luò)使用中對(duì)木馬的防范意識(shí)和措施，避免在網(wǎng)絡(luò)使用中遭受木馬攻擊，造成損失。本項(xiàng)目主要內(nèi)容如下：1.木馬的使用。2.木馬的生成。3.木馬免殺。4.木馬的防范。

項(xiàng)目主要內(nèi)容：

任務(wù)一木馬的使用任務(wù)二木馬的生成任務(wù)三木馬免殺任務(wù)四

木馬的防范任務(wù)一木馬的使用任務(wù)描述在木馬攻擊中，攻擊者將“服務(wù)端”木馬程序植入到被攻擊者的計(jì)算機(jī)中，打開(kāi)被攻擊者計(jì)算機(jī)的端口，然后利用“控制端”遠(yuǎn)程控制被攻擊者的計(jì)算機(jī)。請(qǐng)使用冰河木馬和灰鴿子木馬測(cè)試木馬攻擊的危害。任務(wù)分析木馬的設(shè)計(jì)者為了防止木馬被發(fā)現(xiàn)，會(huì)采用多種手段隱藏木馬。木馬的服務(wù)端一旦運(yùn)行并被控制端連接，控制端將享有服務(wù)端的大部分操作權(quán)限，例如給計(jì)算機(jī)增加口令，瀏覽、移動(dòng)、復(fù)制、刪除文件，修改注冊(cè)表、更改計(jì)算機(jī)配置等。1.木馬的特征。（1）隱蔽性：如其他所有的病毒一樣，木馬必須隱藏在系統(tǒng)之中。（2）自動(dòng)運(yùn)行性：計(jì)算機(jī)系統(tǒng)啟動(dòng)時(shí)木馬會(huì)自動(dòng)運(yùn)行。（3）能自動(dòng)打開(kāi)特別的端口：木馬程序潛入計(jì)算機(jī)后，會(huì)打開(kāi)TCP/IP協(xié)議的某些端口，等待控制端進(jìn)行連接，從而實(shí)現(xiàn)遠(yuǎn)程控制的目的?，F(xiàn)在的木馬還會(huì)主動(dòng)連接到控制端。（4）功能的特殊性：很多木馬的功能十分特殊，除了普通的文件操作以外，有些木馬具有搜索Cache中的口令、設(shè)置口令、掃描目標(biāo)計(jì)算機(jī)的IP地址、進(jìn)行鍵盤(pán)記錄、遠(yuǎn)程操作注冊(cè)表、鎖定鼠標(biāo)、打開(kāi)攝像頭等功能。2.木馬的發(fā)展。木馬程序技術(shù)發(fā)展可以說(shuō)非常迅速。至今木馬程序已經(jīng)經(jīng)歷了6代的改進(jìn)。第一代，是最原始的木馬程序。主要是簡(jiǎn)單的密碼竊取，通過(guò)電子郵件發(fā)送信息等，具備了木馬最基本的功能。

第二代，在技術(shù)上有了很大的進(jìn)步，功能和隱匿性大大增強(qiáng)，冰河是中國(guó)木馬的典型代表之一。

第三代，主要改進(jìn)在數(shù)據(jù)傳遞技術(shù)方面，出現(xiàn)了ICMP等類型的木馬，利用畸形報(bào)文傳遞數(shù)據(jù)，增加了殺毒軟件查殺識(shí)別的難度。第四代，在進(jìn)程隱藏方面有了很大改動(dòng)，采用了內(nèi)核插入式的嵌入方式，利用遠(yuǎn)程插入線程技術(shù)，嵌入DLL線程，或者掛接PSAPI，實(shí)現(xiàn)木馬程序的隱藏，甚至在WindowsNT/2000下，都達(dá)到了良好的隱藏效果?；银澴雍兔鄯浯蟊I是比較出名的DLL木馬。第五代，驅(qū)動(dòng)級(jí)木馬。驅(qū)動(dòng)級(jí)木馬多數(shù)都使用了大量的Rootkit技術(shù)來(lái)達(dá)到深度隱藏的效果，并深入到內(nèi)核空間內(nèi)，感染后針對(duì)殺毒軟件和網(wǎng)絡(luò)防火墻進(jìn)行攻擊，可將系統(tǒng)SSDT初始化，導(dǎo)致殺毒防火墻失去效力。有的驅(qū)動(dòng)級(jí)木馬可駐留BIOS，并且很難查殺。第六代，隨著身份認(rèn)證USBKey和殺毒軟件主動(dòng)防御的興起，黏蟲(chóng)技術(shù)類型和特殊反顯技術(shù)類型木馬逐漸開(kāi)始系統(tǒng)化。前者主要以盜取和篡改用戶敏感信息為主，后者以動(dòng)態(tài)口令和硬證書(shū)攻擊為主。PassCopy和暗黑蜘蛛俠是這類木馬的代表。3.木馬的種類。（1）破壞型：其功能就是破壞并且刪除文件，可以自動(dòng)刪除計(jì)算機(jī)上的DLL、INI、EXE文件。（2）密碼發(fā)送型：可以找到隱藏木馬并把它們發(fā)送到指定的信箱。有人喜歡把自己的各種密碼以文件的形式存放在計(jì)算機(jī)中，認(rèn)為這樣方便；還有人喜歡用Windows提供的密碼記憶功能，這樣就可以不必每次輸入密碼了。但是許多木馬軟件可以尋找到這些文件，把它們送到黑客手中。也有些木馬軟件長(zhǎng)期潛伏，記錄操作者的鍵盤(pán)操作，從中尋找有用的密碼。（3）遠(yuǎn)程訪問(wèn)型：最廣泛的是特洛伊木馬，只需有人運(yùn)行了服務(wù)端程序，如果黑客知道了這些服務(wù)端的IP地址，就可以實(shí)現(xiàn)遠(yuǎn)程控制。（4）鍵盤(pán)記錄木馬：這種特洛伊木馬記錄受害者的鍵盤(pán)敲擊并且在LOG文件中查找密碼。（5）DoS攻擊木馬：當(dāng)黑客入侵了一臺(tái)計(jì)算機(jī)，種上DoS攻擊木馬，那么日后該計(jì)算機(jī)就會(huì)變成黑客進(jìn)行DoS攻擊的助手，即充當(dāng)為肉雞。（6）代理木馬：黑客在入侵的同時(shí)掩蓋自己的足跡，謹(jǐn)防別人發(fā)現(xiàn)自己的身份是非常重要的，因此黑客會(huì)給被控制的肉雞種上代理木馬，讓其變成攻擊者發(fā)動(dòng)攻擊的跳板。通過(guò)代理木馬，攻擊者可以隱蔽自己的蹤跡。（7）程序殺手木馬：木馬的功能雖然形形色色，不過(guò)要在被攻擊者的計(jì)算機(jī)上發(fā)揮作用，還需要過(guò)防病毒軟件這一關(guān)才行。程序殺手木馬的功能就是關(guān)閉對(duì)方計(jì)算機(jī)上運(yùn)行的防病毒軟件，讓病毒更好的發(fā)揮作用。（8）反彈端口型木馬：防火墻對(duì)于連入計(jì)算機(jī)的連接往往會(huì)進(jìn)行非常嚴(yán)格的過(guò)濾，但是對(duì)于從計(jì)算機(jī)連出的連接卻疏于防范。于是與一般的木馬相反，反彈端口型木馬的服務(wù)端（被控制端）使用主動(dòng)端口，客戶端（控制端）使用被動(dòng)端口。木馬服務(wù)端定時(shí)檢測(cè)控制端的存在，發(fā)現(xiàn)控制端上線就會(huì)立即主動(dòng)連接控制端。根據(jù)以上所述木馬的特征、發(fā)展和種類，下面就冰河木馬和灰鴿子木馬的使用進(jìn)行實(shí)驗(yàn)演示和分析。任務(wù)實(shí)施本次任務(wù)實(shí)施拓?fù)涫疽鈭D如圖5-1所示。圖5-1木馬的使用任務(wù)拓?fù)涫疽鈭D2.冰河木馬的使用。知識(shí)鏈接：“冰河木馬”屬于第2代木馬，開(kāi)發(fā)于1999年，在設(shè)計(jì)之初，開(kāi)發(fā)者的本意是編寫(xiě)一個(gè)功能強(qiáng)大的遠(yuǎn)程控制軟件。但一經(jīng)推出，就依靠其強(qiáng)大的功能成為了黑客們發(fā)動(dòng)入侵的工具，并結(jié)束了國(guó)外木馬一統(tǒng)天下的局面，成為國(guó)產(chǎn)木馬的標(biāo)志和名詞。雖然冰河木馬現(xiàn)在已經(jīng)過(guò)時(shí)，但學(xué)習(xí)木馬防范的初學(xué)者一定要體驗(yàn)一下冰河木馬的使用。冰河木馬的服務(wù)端程序?yàn)镚-server.exe，客戶端程序?yàn)镚-client.exe，默認(rèn)連接端口為7626。一旦運(yùn)行G-server.exe，那么該程序就會(huì)在“C：/Windows/system”目錄下生成Kernel32.exe和sysexplr.exe，并刪除自身。Kernel32.exe在系統(tǒng)啟動(dòng)時(shí)自動(dòng)加載運(yùn)行，sysexplr.exe和txt文件關(guān)聯(lián)。即使用戶刪除了Kernel32.exe，但只要打開(kāi)txt文件，sysexplr.exe就會(huì)被激活，它將再次生成Kernel32.exe，于是冰河又回來(lái)了！步驟1配置冰河木馬服務(wù)端。在攻擊者計(jì)算機(jī)上運(yùn)行冰河木馬的客戶端程序G-client.exe，如圖5-2所示。圖5-2冰河木馬的客戶端程序運(yùn)行界面步驟2在圖5-2中，選擇“文件”—“配置服務(wù)端程序”，打開(kāi)“服務(wù)器配置”窗口，如圖5-3所示。圖5-3冰河木馬服務(wù)器配置“基本設(shè)置”窗口在圖5-3中，“基本配置”選項(xiàng)卡中各配置含義如下：（1）安裝路徑：指安裝服務(wù)端的目錄。（2）文件名稱：指安裝服務(wù)端時(shí)生成的木馬程序的文件名。（3）進(jìn)程名稱：指服務(wù)端運(yùn)行時(shí)在進(jìn)程列表中顯示的名字。（4）訪問(wèn)口令：指對(duì)這個(gè)服務(wù)端進(jìn)行訪問(wèn)的口令（可以不加）。（5）敏感字符：服務(wù)端監(jiān)聽(tīng)目標(biāo)計(jì)算機(jī)上的敏感字符。（6）監(jiān)聽(tīng)端口：設(shè)置服務(wù)端口，客戶端將通過(guò)該端口連接服務(wù)端，默認(rèn)的監(jiān)聽(tīng)端口為7626。（7）自動(dòng)刪除安裝文件：當(dāng)服務(wù)端運(yùn)行時(shí)，將刪除原安裝文件。（8）禁止自動(dòng)撥號(hào)：防止服務(wù)端連接網(wǎng)絡(luò)時(shí)進(jìn)行ADSL等撥號(hào)。（9）待配置文件：在路徑瀏覽中選擇需要傳送到目標(biāo)機(jī)器上的G_SERVER.exe。步驟3在圖5-3中，選擇“自我保護(hù)”選項(xiàng)卡，如圖5-4所示。圖5-4冰河木馬服務(wù)器配置“自我保護(hù)”窗口在圖5-4中，“自我保護(hù)”選項(xiàng)卡中各配置含義如下：（1）寫(xiě)入注冊(cè)表啟動(dòng)項(xiàng)：選中后，服務(wù)端將隨計(jì)算機(jī)啟動(dòng)而自動(dòng)啟動(dòng)。（2）鍵名：寫(xiě)入注冊(cè)表啟項(xiàng)時(shí)的鍵名，可以自行設(shè)置。（3）關(guān)聯(lián)：指木馬可以隨著txt文件或者exe文件打開(kāi)而運(yùn)行。一旦木馬被刪除，可以通過(guò)已關(guān)聯(lián)類型的文件再次啟動(dòng)木馬。步驟4在圖5-2中，選擇“郵件通知”選項(xiàng)卡，如圖5-5所示。圖5-5冰河木馬服務(wù)器配置“郵件通知”窗口在圖5-4中，“郵件通知”選項(xiàng)卡中各配置含義如下：（1）SMTP服務(wù)器：發(fā)送郵件時(shí)所使用的SMTP服務(wù)器，由于這里無(wú)法輸入用戶名和密碼，只可使用不需要驗(yàn)證的SMTP服務(wù)器。（2）接收信箱：郵件的接收者。（3）郵件內(nèi)容：選擇哪些信息會(huì)通過(guò)電子郵件進(jìn)行發(fā)送。設(shè)置好木馬的各個(gè)選項(xiàng)后，單擊“確定”按鈕，完成對(duì)G_client.exe的配置。步驟5可以采用社會(huì)工程學(xué)、掛馬等手段，誘使被攻擊者計(jì)算機(jī)運(yùn)行G_server.exe。步驟6在圖5-2中，右擊“我的電腦”，在彈出菜單中選擇“添加”，打開(kāi)“添加計(jì)算機(jī)”對(duì)話框，如圖5-6所示。在“顯示名稱”一欄中輸入一個(gè)名稱，以便區(qū)別不同的被攻擊者；在“主機(jī)地址”一欄中輸入服務(wù)端的IP地址；在“訪問(wèn)口令”一欄中輸入配置服務(wù)端時(shí)輸入的口令；在“監(jiān)聽(tīng)端口”輸入服務(wù)端時(shí)設(shè)置的端口。配置完成后，單擊“確定”按鈕。圖5-6添加服務(wù)端計(jì)算機(jī)步驟7單擊圖5-2中的“我的電腦”前面的“+”號(hào)，展開(kāi)C盤(pán)目錄，若能夠顯示被攻擊者計(jì)算機(jī)C盤(pán)文件，則表示攻擊者已成功連接到被攻擊者了，如圖5-7所示。圖5-7攻擊者成功連接被攻擊者步驟8在圖5-7右邊窗口空白處，右擊鼠標(biāo)，彈出菜單，可以對(duì)服務(wù)端計(jì)算機(jī)的文件夾及文件進(jìn)行操作，如復(fù)制、文件上傳、查找、新建文件夾等，如圖5-8所示。當(dāng)右鍵單擊文件時(shí)，可以對(duì)文件進(jìn)行復(fù)制、文件下載、打開(kāi)查看等操作，如圖5-9所示。圖5-8攻擊者對(duì)被攻擊者硬盤(pán)的操作圖5-9攻擊者對(duì)被攻擊者文件的操作步驟9在圖5-7中，單擊“命令控制臺(tái)”選項(xiàng)卡，展開(kāi)“口令類命令”，如圖5-10所示。圖5-10口令類命令窗口在圖5-7中，“口令類命令”各節(jié)點(diǎn)的功能包括：（1）系統(tǒng)信息及口令：查看系統(tǒng)的信息、開(kāi)機(jī)口令、緩存口令和其他口令。（2）歷史口令：各種對(duì)話框出現(xiàn)的口令。（3）擊鍵記錄：?jiǎn)?dòng)鍵盤(pán)記錄、終止鍵盤(pán)記錄、查看鍵盤(pán)記錄和清空鍵盤(pán)記錄。步驟10在圖5-10“命令控制臺(tái)”選項(xiàng)卡中，展開(kāi)“控制類命令”，如圖5-11所示。圖5-11控制類命令窗口控制類命令有：捕獲屏幕、發(fā)送信息、進(jìn)程管理、窗口管理、系統(tǒng)控制、鼠標(biāo)控制、其它控制等。在“系統(tǒng)控制”中，單擊“自動(dòng)卸載冰河”按鈕可以把冰河木馬卸載掉。步驟11在圖5-10“命令控制臺(tái)”選項(xiàng)卡中，展開(kāi)“網(wǎng)絡(luò)類命令”，如圖5-12所示。圖5-12網(wǎng)絡(luò)類命令窗口網(wǎng)絡(luò)類命令有：創(chuàng)建共享、刪除共享、查看網(wǎng)絡(luò)信息。

除此之外，命令控制臺(tái)還有文件類命令、注冊(cè)表讀寫(xiě)、設(shè)置類命令，讀者可以自行點(diǎn)擊查看，進(jìn)行實(shí)驗(yàn)和使用。冰河木馬的功能比較全面，但是冰河木馬有一個(gè)比較大的局限，被攻擊者計(jì)算機(jī)運(yùn)行木馬服務(wù)端后，攻擊者在客戶端上可以手動(dòng)添加計(jì)算機(jī)，可是若攻擊者不知道被攻擊者的IP地址，則無(wú)法添加服務(wù)端。雖然在冰河木馬中提供了搜索功能，如圖5-13所示。單擊“自動(dòng)搜索”工具按鈕，打開(kāi)“搜索計(jì)算機(jī)”窗口，設(shè)置好搜索參數(shù)后，單擊“開(kāi)始搜索”按鈕即可搜索服務(wù)端IP。但是，在茫茫大海似的網(wǎng)絡(luò)中，搜索冰河服務(wù)端也是一件純粹靠運(yùn)氣的事情，如果服務(wù)端采用私有網(wǎng)絡(luò)的IP地址，或者是在防火墻的保護(hù)之內(nèi)，控制端將無(wú)法搜索或者連接到服務(wù)端?；谝陨显?，反彈木馬應(yīng)運(yùn)而生。圖5-13冰河木馬“搜索計(jì)算機(jī)”窗口3.灰鴿子木馬的使用。

知識(shí)鏈接：灰鴿子木馬屬于反彈木馬的一種。由于防火墻可以阻擋非法的外來(lái)連接請(qǐng)求，防范冰河木馬這樣的木馬。但是再堅(jiān)固的防火墻也不能阻止內(nèi)部計(jì)算機(jī)對(duì)外的連接。反彈木馬服務(wù)端在被攻擊者的計(jì)算機(jī)上啟動(dòng)后，服務(wù)端主動(dòng)從防火墻的內(nèi)側(cè)向木馬控制端發(fā)起連接，從而突破防火墻的保護(hù)。反彈木馬還有一個(gè)優(yōu)點(diǎn)，服務(wù)端運(yùn)行后會(huì)主動(dòng)連接控制端，攻擊者只要開(kāi)啟控制端，坐等服務(wù)端的連接就行了，而無(wú)需像使用冰河木馬一樣盲目地搜索服務(wù)端。步驟1配置灰鴿子木馬的服務(wù)器端。在攻擊者計(jì)算機(jī)上啟動(dòng)灰鴿子木馬控制端軟件，如圖5-14所示。圖5-14灰鴿子木馬控制端運(yùn)行窗口步驟2在圖5-14中，單擊“配置服務(wù)程序”工具按鈕，打開(kāi)“服務(wù)器配置”對(duì)話框，單擊“自動(dòng)上線設(shè)置”選項(xiàng)卡，設(shè)置“IP通知http訪問(wèn)地址、DNS解析域名或固定IP地址”為攻擊者計(jì)算機(jī)的IP地址；設(shè)置生成服務(wù)端的上線圖像，圖標(biāo)最好具有誘惑性，方便實(shí)行攻擊；設(shè)置上線分組為“自動(dòng)上線主機(jī)”；在“連接密碼”選項(xiàng)中可以設(shè)置控制端連接服務(wù)端的密碼，也可以不設(shè)置。設(shè)置結(jié)果如圖5-15所示。圖5-15“服務(wù)器配置”界面步驟3在圖5-15中，可以配置被攻擊者安裝服務(wù)端時(shí)的安裝選項(xiàng)、啟動(dòng)項(xiàng)設(shè)置、代理服務(wù)、高級(jí)選項(xiàng)、插件功能。如打開(kāi)“安裝選項(xiàng)”窗口，可以選擇是否“程序安裝成功后提示安裝成功”，選中后，安裝服務(wù)端后會(huì)有提示，為了保持隱蔽性，不建議選擇；可以選擇是否“安裝成功后自動(dòng)刪除安裝文件”，選中后，服務(wù)端在成功安裝后，將會(huì)刪除服務(wù)端程序；也可以選擇是否“程序運(yùn)行時(shí)在任務(wù)欄顯示圖標(biāo)”，如果選中后，服務(wù)端在運(yùn)行時(shí)會(huì)在窗口右下角顯示服務(wù)端圖標(biāo)，這樣就沒(méi)有了隱蔽性，一般不推薦使用。設(shè)置結(jié)果如圖5-16所示。圖5-16選擇生成服務(wù)器的安裝選項(xiàng)步驟4在圖5-15中，打開(kāi)“高級(jí)選項(xiàng)”窗口，可以根據(jù)需要選擇是否“使用IEXPLORE.EXE進(jìn)程啟動(dòng)服務(wù)端程序”或者“隱藏服務(wù)端進(jìn)程”，由于兩項(xiàng)設(shè)置只支持Win2000/XP系統(tǒng)，因此在其他系統(tǒng)上使用該軟件時(shí)可以取消這兩項(xiàng)設(shè)置。為了保護(hù)木馬服務(wù)端程序不被殺毒軟件查殺，可以選擇“使用UPX加殼”進(jìn)行木馬免殺。配置結(jié)果如圖5-17所示。圖5-17選擇生成服務(wù)器的圖標(biāo)信息關(guān)于“啟動(dòng)項(xiàng)設(shè)置”、“代理服務(wù)”、“插件功能”等工具的功能，讀者可以自行點(diǎn)擊查看，進(jìn)行實(shí)驗(yàn)和使用。

步驟5服務(wù)器配置信息完成后，點(diǎn)擊圖5-17右下角的“生成服務(wù)器”按鈕，即可在保存路徑中生成服務(wù)端程序。如圖5-18所示。圖5-18生成服務(wù)端程序步驟6可以采用社會(huì)工程學(xué)、掛馬等手段，誘使被攻擊者在計(jì)算機(jī)上運(yùn)行“服務(wù)端程序.exe”。“服務(wù)端程序.exe”運(yùn)行后，將自動(dòng)刪除軟件。

步驟7一旦被攻擊者運(yùn)行服務(wù)端程序后，在攻擊者的控制端“文件管理器”—“自動(dòng)上線主機(jī)”可以看到已經(jīng)自動(dòng)連接到控制端的計(jì)算機(jī)31，展開(kāi)目錄，可以查看被攻擊者計(jì)算機(jī)硬盤(pán)上的數(shù)據(jù)，如圖5-19所示。圖5-19服務(wù)端成功反彈連接到控制端步驟8在圖5-19中，選擇“遠(yuǎn)程控制命令”選項(xiàng)卡，在“遠(yuǎn)程控制命令”界面中，可以遠(yuǎn)程操作服務(wù)端計(jì)算機(jī)，如進(jìn)行系統(tǒng)操作、剪切板查看、進(jìn)程管理、服務(wù)管理、共享管理、代理服務(wù)、插件管理，如圖5-20所示。圖5-20服務(wù)端“遠(yuǎn)程控制命令”界面（1）在“系統(tǒng)操作”中，可以進(jìn)行查看被攻擊者計(jì)算機(jī)的系統(tǒng)信息、重啟計(jì)算機(jī)、關(guān)閉計(jì)算機(jī)、卸載服務(wù)端；（2）在“剪切板查看”中，可以進(jìn)行遠(yuǎn)程查看被攻擊者計(jì)算機(jī)上剪切板信息、本地剪切板信息；（3）在“進(jìn)程管理”中，可以查看被攻擊者計(jì)算機(jī)上的進(jìn)程名、進(jìn)程ID、文件路徑、終止進(jìn)程；（4）在“服務(wù)管理”中，可以查看被攻擊者計(jì)算機(jī)上的服務(wù)，查看服務(wù)并設(shè)置服務(wù)的啟動(dòng)方式；（5）在“共享管理”中，可以在被攻擊者計(jì)算機(jī)上建立共享或者刪除共享；（6）在“代理服務(wù)”中，可以在被攻擊者計(jì)算機(jī)上設(shè)置代理的登錄用戶名、登錄密碼；（7）在“插件管理”中，可以查看被攻擊者計(jì)算機(jī)上安裝的插件，并啟用或停止選中的插件。步驟9在圖5-20中，單擊工具欄的“捕獲屏幕”選項(xiàng)，可以遠(yuǎn)程查看被攻擊者計(jì)算機(jī)屏幕，并可以傳送鼠標(biāo)和鍵盤(pán)操作、全屏顯示、保存或錄制屏幕、發(fā)送組合鍵等，如圖5-21所示。圖5-21使用“捕獲屏幕”選項(xiàng)遠(yuǎn)程查看被攻擊者計(jì)算機(jī)屏幕步驟10在圖5-20中，單擊工具欄的“視頻語(yǔ)音”選項(xiàng)，可以對(duì)被攻擊者進(jìn)行視頻監(jiān)控、語(yǔ)音監(jiān)聽(tīng)，并保存接收到的語(yǔ)音，如圖5-22所示。圖5-22使用“視頻語(yǔ)音”選項(xiàng)監(jiān)視被攻擊者步驟11在圖5-20中，選中已經(jīng)成功連接的服務(wù)端，單擊工具欄的“Telnet”選項(xiàng)，打開(kāi)Telnet窗口，則在窗口中可以遠(yuǎn)程執(zhí)行命令，如圖5-23所示。圖5-23使用“Telnet”選項(xiàng)遠(yuǎn)程控制被攻擊者4.wollf工具的使用。知識(shí)鏈接：wollf是一個(gè)典型的Rootkit工具。Rootkit是一種特殊的、小巧的木馬，是攻擊者用來(lái)隱藏自己的蹤跡和保留Root訪問(wèn)權(quán)限的工具。通常攻擊者通過(guò)遠(yuǎn)程攻擊獲得目標(biāo)主機(jī)的Root訪問(wèn)權(quán)限后，攻擊者會(huì)在目標(biāo)主機(jī)上安裝Rootkit，此后攻擊者就可以通過(guò)Rootkit這一后門(mén)軟件保持對(duì)目標(biāo)主機(jī)的持續(xù)控制。例如，通過(guò)Rootkit的嗅探功能獲得其他系統(tǒng)的用戶和密碼之后，攻擊者就會(huì)利用這些信息侵入其他的系統(tǒng)。wollf工具具有擴(kuò)展Telnet服務(wù)，集成文件傳輸、FTP服務(wù)器、鍵盤(pán)記錄、Sniffer、端口轉(zhuǎn)發(fā)等功能，可反向連接，也可通過(guò)參數(shù)選擇隨系統(tǒng)啟動(dòng)或作為普通進(jìn)程啟動(dòng)。wollf工具的命令如下：wolf[選項(xiàng)]其中選項(xiàng)含義如下：-install：安裝wollf服務(wù)；-remove：停止并清除wollf服務(wù)；-update：升級(jí)wollf服務(wù)；-debug：調(diào)試wollf服務(wù)，用于安裝失敗后查看出錯(cuò)信息；-once：作為普通進(jìn)程運(yùn)行，重啟后不自動(dòng)加載；-connect[host][port]：連接到遠(yuǎn)程wollf服務(wù)，主要用于連接后傳輸文件；-listen[port]：